CRITICAL✓ PATCH🇬🇧 English

CVE-2025-15385

Pominięcie uwierzytelnienia w aplikacji Tecno Boomplay (Android)

CVSS 9.8v3.1pub. 2026-01-06upd. 2026-01-30

Krytyczna podatność w aplikacji Boomplay firmy TECNO Mobile umożliwia obejście mechanizmu uwierzytelnienia bez jakichkolwiek uprawnień czy interakcji użytkownika. Ocena CVSS 9.8 wskazuje na bardzo wysokie ryzyko naruszenia poufności, integralności i dostępności danych.

Pokaż oryginał (EN)

Insufficient Verification of Data Authenticity vulnerability in TECNO Mobile com.Afmobi.Boomplayer allows Authentication Bypass.This issue affects com.Afmobi.Boomplayer: 7.4.63.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej weryfikacji autentyczności danych (CWE-345) w aplikacji com.Afmobi.Boomplayer w wersji 7.4.63. Atakujący zdalny, bez uwierzytelnienia i bez interakcji ze strony użytkownika, może dostarczyć spreparowane dane, które nie są odpowiednio weryfikowane pod kątem ich autentyczności. W efekcie mechanizm uwierzytelnienia zostaje pominięty, a atakujący uzyskuje nieautoryzowany dostęp do chronionych funkcji lub zasobów aplikacji.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do zasobów aplikacji, potencjalnie prowadząc do naruszenia poufności, modyfikacji danych lub zakłócenia działania usługi bez posiadania jakichkolwiek uprawnień.

Mitygacja

Należy zaktualizować aplikację Boomplay do wersji wyższej niż 7.4.63. Szczegółowe informacje o dostępnych patchach znajdują się na stronie producenta: https://security.tecno.com/SRC/securityUpdates

Kogo dotyczy

Aplikacja Boomplay (com.Afmobi.Boomplayer) w wersji 7.4.63 na platformie Android (TECNO Mobile).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Tecno Boomplay

    APP
    Tecno
    ≤ 7.4.63
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-3701CRITICAL9.8PL ✓ten sam vendor

Brak uwierzytelnienia w aplikacji systemowej Tecno HiOS (com.transsion.kolun.aiservice)

CVE-2025-3698HIGH7.5ten sam vendor

Interface exposure vulnerability in the mobile application (com.transsion.carlcare) may lead to information l...

CVE-2025-2190HIGH8.1ten sam vendor

The mobile application (com.transsnet.store) has a man-in-the-middle attack vulnerability, which may lead to c...

CVE-2019-15417HIGH7.8ten sam vendor

The Tecno Spark Pro Android device with a build fingerprint of TECNO/H3722/TECNO-K8:7.0/NRD90M/K8-H3722ABCDE-N...

CVE-2025-9056MEDIUM5.3ten sam vendor

Unprotected service in the AudioLink component allows a local attacker to overwrite system files via unauthori...